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摘 要 : 针对 SIMECK 密码 给 出 一 种 代数 故障 攻击 方法 。 首 先 给 出 SIMECK 加 密 轮 函数 和 密 钥 生成 策略 等 效 代 数 方 
程 创建 方法 ; 分 别 设 定 故障 已 知 模型 和 故障 未 知 模型 ， 并 在 故障 未 知 模型 下 提出 基于 故障 注入 差分 和 基于 正确 /故障 密 
文 差分 确定 故障 索引 值 两 种 策略 创建 故障 信息 方程 ; 利用 基于 SAT 问题 求解 方程 组 。 结 果 表 明 ， 在 SIMECK32/64 第 
24 轮 注 入 单 比特 翻转 故障 ， 故 障 已 知 模型 和 基于 故障 注入 差分 的 故障 未 知 模型 均 仅 需 2 次 注入 即 可 恢复 完整 64 比特 
主 密 钥 ; 在 第 27 轮 注 入 故障 ， 基 于 密 文 差分 的 未 知 模型 需 9 次 注入 可 恢复 完整 主 密 钥 。 与 已 有 研究 相 比 ， 该 攻击 密 铀 
搜索 复杂 度 更 低 ， 所 需 故障 注入 样本 量 更 少 。 
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On algebraic fault attack against SIMECK cipher 
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Abstract: This paper evaluated the security of SIMECK using the algebraic fault analysis. Firstly, given the method of creating 
equivalent algebraic equations of SIMECK encryption round function and key generation strategy. Secondly, it designed the 


known fault model and stochastic fault model respectively, and proposed two strategies based on the differential value of fault 


injected and the fault index determined by differential value of ciphertext to create equivalent equations of fault information 
under the unknown model. Finally, solved equations based on the SAT problem. Experimental results show that after injecting 
single-bit fault to the 24th round of SIMECK32/64, the fault known model and the fault unknown model based on differential 
value of the fault injection, only 2 injections can recover the full 64-bit master keys. And 9 injections needed for the fault 
unknown model based on the differential value of ciphertext after injecting single-bit fault to the 27th round. The method’s 
complexity of searching key is simpler and its fault injection sample required is less compared with the previous research. 
Key words: fault attack; algebraic fault attack; SIMECK; lightweight block cipher; fault model 
两 种 方法 单一 使 用 时 的 不 足 ， 即 利用 代数 分 析 思 想 将 故障 信息 
表示 成 代数 方程 组 ， 能 够 充分 利用 可 计算 资源 以 提高 故障 信息 
故障 攻击 是 旁 路 攻击 的 一 种 实现 形式 ， 以 其 高 有 效 性 受到  ” 利用 率 ; 同时 所 创建 的 故障 信息 方程 能 够 有 效 降低 代数 分 析 中 
研究 者 广泛 关注 。 密 码 学 家 尝试 将 传统 分 析 方 法 与 故障 攻击 相 “方程 组 的 求解 复杂 度 。 之 后 研究 人 员 将 代数 故障 攻击 成 功 扩展 
结合 ， 如 差分 攻击 的 提出 者 Bihamt 将 差分 分 析 思 想 引 入 故障 ”至 PRESENTBI、GOSTIJ、LED 铝 等 密码 算法 ， 进 一 步 证 明了 代 
攻击 ， 提 出 差分 故障 攻击 ， 并 成 功 破 解 DES 密码 。 但 差分 故障 ” 数 故 障 攻击 的 有 效 性 。 


0 引言 


五 


攻击 利用 手工 推导 故障 信息 ， 无 法 将 故障 注入 更 深 轮 ， 因 此 故 本 文 攻击 对 象 SIMECK 密码 中 是 一 种 专 为 运行 在 硬件 资源 
障 信息 利用 率 较 低 。 有 限 的 无 源 RFID 标签 等 设计 的 轻 量 级 分 组 密码 ， 采 用 典型 
eSmart2010 会 议 上 Courtois 将 其 所 提出 的 代数 攻击 思想 引 Feistel 结构 ， 加 密 轮 函数 内 部 舍弃 设计 较为 成 熟 的 S 盒 ， 而 是 


入 故障 攻击 ， 提 出 代数 故障 攻击 方法 外 并 成 功 恢复 DES 密 钥 。 ”将 按 位 “与 ”运算 、“ 异 或 ”运算 和 循环 移 位 操作 组 合 而 成 ， 具 
代数 故障 攻击 利用 经 典 代数 分 析 与 故障 攻击 各 自 的 优势 ， 弥 补 ” 有 优秀 的 硬件 实现 效率 , 更 加 符合 分 组 密码 轻 量 化 设计 趋势 上 )。 
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SIMECK32/64 密码 硬件 实现 仅 需 549GE, 小 于 轻 量 级 分 组 密码 
ISO 标准 算法 PRESENT 的 1370GE。 目 前 针对 SIMECK 密码 
的 攻击 主要 集中 在 线性 分 析 外 四 和 差分 分 析 09 0 等 传统 密码 
分 析 方 法 ， 最 好 结果 将 密 钥 搜索 空间 降 至 22?,， 很 难 对 密码 构成 
实际 威胁 。 故 障 攻 击 方面 ，Saraswat 等 利用 差分 故障 攻击 02， 
通过 在 倒数 第 2 轮 注 入 单 比特 故障 ， 平 均 28.32 个 故障 能 够 恢 
复 最 后 一 轮 16 位 轮 密 钥 。 但 该 方法 存在 以 下 不 足 : a) 仅 能 恢 
复 末 轮 16 位 密 钥 ,但 根据 SIMECK 密码 的 密 钥 扩展 算法 特性 ， 
需 获 得 连续 4 轮 轮 密 钥 才 可 能 恢复 全 部 主 密 钥 信 息 ; b) 需要 
工 计算 故障 传播 路 径 ， 不 能 充分 利用 可 计算 资源 ， 故 障 注 入 深 
度 较 浅 使 得 可 利用 故障 加 密 信息 较 少 ， 因 此 需要 注入 故障 数量 
较 多 ， 导 致 故障 信息 利用 率 较 低 。 

本 文 提出 针对 SIMECK32/64 密码 的 代数 故障 攻击 ， 在 密 
码 右 寄存 器 注入 单 比特 翻转 故障 : a) 假设 故障 已 知 模型 ， 在 倒 
数 第 9 轮 注入 单 比 特 故障 , 仅 需 2 次 故障 注入 即 可 恢复 64bit 完 
整 主 密 钥 信息 ; b) 假设 故障 未 知 模 型 , 分别 采用 两 种 策略 创建 
故障 信息 方程 :(a) 创 建 故障 注入 差分 方程 , 结果 需 2 次 故障 即 可 
恢复 64bit 完整 主 密 钥 信息 ; (b) 通 过 匹配 密 文 差分 表 确 定 故 障 
索引 值 ， 结 果 需 要 9 次 故障 即 能 恢复 64 比特 主 密 钥 。 


mm 


1 ”相关 知识 


1.1 SIMECK 密码 介绍 

SIMECK 算法 是 CHES2015 上 提出 的 一 种 轻 量 级 分 组 密码 ， 
不 同 版 本 根据 分 组 长 度 和 密 钥 长 度 的 差异 表示 为 SIMECK 
2n/4n(n 为 加 密 字 长 度 ,，n=16,24,32)， 其 中 2n 为 分 组 长 度 ，47 
为 密 钥 长 度 ， 对 应 加 密 轮 数 分 别 为 32、36 和 44。 以 SIMECK 
32/64 为 例 ， 表 示 该 版 本 分 组 长 度 为 32bit， 密 钥 长 度 为 64bit， 
加 密 迭 代 32 轮 。 并 且 全 部 版 本 均 满 足 无 源 RFID 标签 对 硬件 实 
现 面积 、 吞 吐 量 及 功 耗 的 要 求 03]。 

本 文 所 使 用 符号 含义 说 明 如 表 1 所 示 。 

表 1 文中 符号 代表 含义 


符号 含义 
X<<a 比特 序列 了 循环 左 移 a 位 

广 按 位 “与 ”运算 

© 安 位 “ 异 或 ”运算 

mh 主 密 钥 第 i 比特 ，0<i<4n 

mLi 明文 左 寄存 器 第 i 比特 ，0<i<n 

mR: 明文 右 寄存 器 第 i 比特 ，0<i<n 

sk[i] 第 r+ 轮子 密 钥 第 i 比特 ，0<i<n 
xLi] 加 密 至 第 r 轮 ， 左 寄存 器 状态 第 i 比特 ，0<i<n 
XR,li] 加 密 至 第 r 轮 ， 右 寄存 器 状态 第 i 比特 ，0<i<n 


xL"[i] 注入 故障 后 ， 第 r 轮 左 寄存 器 状态 第 i 比特 ，0 志 i<n 
XR 注入 故障 后 ， 第 +r 轮 右 寄存 器 状态 第 i 比特 ，0i<n 


1.1.1 加 密 轮 函数 设计 
SIMECK 算法 加 密 整 体 采 用 典型 Feistel 结构 ， 轮 函数 内 加 
密 部 件 由 “与 ”运算 、“ 异 或 ”运算 和 循环 移 位 操作 组 成 ， 如 图 


hinaXiv 合 作 期 刊 


1 所 示 。 其 中 “与 ”运算 能 够 增强 算法 非 线性 ， 并 和 “ 异 或 ” 运 
算 共同 作用 使 得 加 密 运 算 在 两 寄存 器 间 扩 散 ， 循 环 移 位 操作 使 
得 加 密 运 算 在 寄存 器 内 部 扩散 。 


Master- 
五 RE tos 
>| f (L) 密 钥 扩展 算法 
5 六 
v 
L ji 十 了 R i+l 
| | 
i; 一 一 Subkeyi 
密 文 L 密 文 RR 


图 1 SIMECK 族 密码 加 密 过 程 


以 SIMECK32/64 版 本 为 例 ， 具 体 加 密 过 程 如 下 : 


a) 将 32bit 明文 均 分 为 左右 两 部 分 ， 记 为 my 和 mR。 分别 将 
mL 和 mR 作为 SIMECK 密码 左 寄存 器 和 右 寄存 器 的 初始 状态 ; 


b) 启动 加 密 算法 ，SIMECK 加 密 轮 函数 对 寄存 器 内 明文 
进行 迭代 运算 ，32 轮 加 密 后 寄存 器 内 部 状态 即 为 加 密 密 文 ; 密 
码 寄存 器 状态 更 新 如 式 (1) 所 示 。 


XR,, 二 XL, 
zx =f (xL,) DR, ©sk, (1) 
其 中 :了 函数 运算 表达 式 如 式 (2) 所 示 。 
f(x)=(x&(x<<5))®(x<<D) (2) 


1.1.2 密 钥 生成 策略 

SIMECK 密 钥 扩 展 算 法 借鉴 NSA 提出 的 SPECK 密码 的 设 
计 思 路 ， 重 用 轮 函 数 计算 轮子 密 钥 ， 这 样 设计 的 优势 是 通过 使 
用 轮 函 数 的 硬件 实现 来 进行 密 钥 扩 展 计 算 ， 无 需 另 外 设置 硬件 
实现 密 钥 扩展 算法 ， 提 高 安全 性 的 同时 减少 硬件 资源 消耗 ， 更 
符合 轻 量 级 密码 的 设计 准则 ， 以 更 好 的 运行 于 资源 受 限 设 备 。 
此 外 还 引入 由 LFSR 生成 的 m- 序 列 编排 轮子 密 钥 以 增强 密码 安 
全 性 。 


以 SIMECK32/64 版 本 为 例 ， 轮 子 密 钥 生 成 过 程 如 下 : 

a) 将 64 bit 主 密 钥 均 分 成 4 部 分 ， 记 为 (12, 1，to，ko)， 
其 中 各 为 主 密 钥 的 最 高 16 位 ，& 为 主 密 钥 最 高 16 位 。 分 别 作 
为 密 钥 扩展 寄存 器 72，7T1，70，K0 的 初始 状态 ; 


b) 将 寄存 器 TO0 和 K0 的 内 部 状态 送 入 加 密 轮 函 数 ， 并 引入 
常量 C 和 m- 序 列 如 ， 运 算 结 果 作为 72 寄存 器 下 一 轮 的 更 新 状 
态 ， 如 式 (3) 所 示 。 


KO0,, = 70, 
(3) 


72.=K0.@f(T0)e@Ce@C)， 
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每 轮 运算 后 ， 密 钥 反 馈 移 位 寄存 器 右 移 n 位 。 其 中 ,+ 为 
加 密 轮 数 ，C 为 加 密 常 量 ，C=2”-4，( 有 用) -为 mm- 序列 万 的 第 > 
比特 ,各 版 本 密码 所 用 互 序列 的 初始 状态 及 反馈 特征 多 项 式 详 
见 文献 [12]。 每 轮 扩 展 运 算 后 ， 将 寄存 器 K0 的 内 部 状态 作为 本 
轮 加 密 轮 密 钥 。 
1.2 ”代数 故障 攻击 原理 


针对 密码 算法 进行 代数 故障 攻击 关键 思想 可 总 结 成 三 部 分 : 


首先 ,将 密码 正确 加 密 过 程 表 示 成 代数 方程 组 ; 重启 加 密 算法 ， 
诱导 中 间 轮 发 生 故 障 并 将 故障 信息 转换 成 等 效 方程 组 ;最 后 联 
立方 程 组 进行 求解 。 攻 击 框架 如 图 2 所 示 。 


CryptoMiniSat 
解析 器 


(3) 求解 密 钥 方程 


(2) 建立 故障 信息 方程 


图 2 ”代数 故障 攻击 原理 

代数 故障 攻击 首先 运用 典型 代数 攻击 思想 ， 分 析 密 码 加 密 
轮 函数 及 密 钥 扩展 算法 数学 结构 以 及 其 中 加 密 部 件 固有 数学 特 
征 ， 创建 关于 明 / 密 文 、 主 密 钥 、 轮 密 钥 以 及 加 密 轮 中 间 状 态 的 
等 效 代 数 方 程 组 。 

重启 加 密 算法 ， 对 密码 设备 注入 故障 即 通过 更 改 加 密 设备 
瞬时 电压 或 聚焦 光 脉 冲 照射 密码 芯片 等 方式 致使 寄存 器 内 部 状 
态 发 生 改变 (0。 分 析 所 注 故 障 随 加 密 扩散 过 程 中 与 其 应 用 轮 密 
钥 之 间 相 关 性 ， 将 故障 信息 表示 为 代数 方程 并 与 密码 正确 加 密 
方程 联 立 ， 以 降低 方程 组 求解 复杂 度 。 利 用 故障 信息 的 前 提 是 
设 定 有 效 的 故障 模型 ， 故 障 模型 是 对 所 注入 故障 的 抽象 描述 
关键 参数 包含 故障 作用 效果 、 故 障 深度 即 故障 注入 轮 至 故障 密 
文 输出 所 经 加 密 轮 数 和 故障 宽度 即 一 次 故障 注入 能 影响 所 注 轮 
比特 位 数 等 上 051。 

最 后 联 立方 程 组 , 并 运用 基于 Gr5bne 基 、 线 性 化 及 其 扩展 
算法 、 混 合 整数 规划 问题 、 伪 随机 优化 问题 、 基 于 可 满足 性 
(Satisfiability，SAT) 问 题 等 方法 求解 方程 。 其 中 ， 基 于 SAT 问 
题 方法 适用 于 任何 次 数 的 多 元 方程 ， 更 适合 密码 方程 求解 ， 因 
此 本 文选 取 该 方法 。 


2 SIMECK32/64 等 效 方程 创建 


首先 ， 正确 运 行 SIMECK 加 密 算法 ,将 加 密 过 程 转换 成 等 
效 代数 方程 ， 关 键 是 如 何 构 建 关于 加 密 轮 函 数 和 轮 密 钥 生 成 策 
略 的 代数 方程 组 。 
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黄 长 阳 ， 等 : SIMECK 密码 代数 故障 攻击 研究 


2.1 轮 函 数 方程 
分 析 SIMECK 密码 轮 函数 结构 及 其 内 部 加 密 组 件数 学 特 
性 ， 创 建 方程 如 式 (4) 所 示 。 


xR,, [i © xL [i] =0; 
x B(x (Li <<5)) (LL <<1) OxR IOs =0 4) 


为 简化 方程 表示 以 提高 求解 效率 ， 引 入 3 组 16 bit 中 间 变 量 
名， 了， 名 辅助 方程 表示 ， 如 式 (5) 所 示 。 


xL[i] <<5= X,[i]; 
XL [i]& X,[i]= X,[i]; 


xL [i] <<1= X[i]; 
(5) 


其 中 ，0<7 <32，0<i<16。 加 密 总 迭代 32 轮 ， 
轮 函 数 等 效 方程 SX16X32=2560 个 ， 引 
16) X32=3072 个 。 


因此 共 创建 
变量 共 (32+16+3 X 


2.2 ” 密 钥 扩展 等 效 方程 
由 于 SIMECK 密码 轮 密 钥 生 成 策略 是 通过 重用 轮 函 数 并 引 
入 轮 常量 与 wm- 序列 对 主 密 钥 进行 运算 ， 因 此 密 钥 寄存 器 72 内 
部 状态 更 新 等 效 方程 创建 方法 与 轮 函数 加 密 类 似 ， 其 余 寄存 器 
内 状态 通过 寄存 器 移 位 进行 更 新 ， 因 此 创建 密 钥 寄存 器 状态 更 
新 等 效 方程 如 式 〈6) 所 示 。 


K, [i]®TO,L]=0; 
70 [i] ®TL[i] =0; 
71 [i @72,0] =0; 
7T2, ,OKIO TO TOL <<5) O00 <DOCO(z), =0 


(6) 


其 中 开 ，70，77，72 分 别 代表 密 钥 生成 反馈 移 位 寄存 器 的 四 个 
寄存 器 内 部 状态 。 与 创建 轮 函数 方程 相似 ， 引 入 3 组 新 变量 简 
化 方程 表示 ， 如 式 (7〉 所 示 。 

TO,[i] <<1=Y[i]:; 


TO,[i] <<5=%0]; (7) 
TO,[i]& Y=Z]; 


需 特别 说 明 的 是 , 由 于 SIMECK 算法 前 四 轮 加 密 的 轮 密 钥 
使 用 64 比特 主 密 钥 ， 所 以 只 需 运 行 28 轮 密 钥 扩展 算法 即 能 
获得 全 轮 加密 所 需 完整 轮 密 钥 。 因 此 共 创 建 等 效 方程 ?7X16X 
28=3136 个 ,所 引用 变量 共 (4X16+3X16) X28+16+28=3180 个 。 


3 ”故障 信息 分 析 


求解 经 典 代数 攻击 所 创建 方程 的 复杂 度 会 随 着 加 密 迭 代 轮 
数 的 增多 而 呈 指 数 增长 ， 而 轻 量 级 分 组 密码 往往 通过 增多 加 密 
轮 数 来 提高 安全 性 ， 求 解密 码 全 轮 方程 被 证 明 是 NP 完全 问题 ， 
现 有 计算 能 力 无 法 在 指数 时 间 内 完成 求解 。 分 析 故 障 信息 的 
的 正 是 通过 创建 故障 信息 方程 以 降低 密 钥 方程 求解 复杂 度 。 


3.1 故障 注入 寄存 器 选取 
分 析 SIMECK 密码 加 密 整体 采用 平衡 Feistel 结构 及 轮 函 


录用 稿 


数 的 运算 特性 ， 每 轮 加 密 时 仅 将 左 寄 存 器 内 部 状态 送 入 了 函数 


进行 “与 


“ 异 或 ”和 循环 移 位 操作 的 混合 运算 ， 并 将 运算 结 


果 作为 下 一 轮 左 寄存 器 的 更 新 状态 。 而 右 寄存 器 内 部 状态 则 不 


经 过 任何 加 密 操作 ， 
存 器 和 右 寄存 器 内 部 1 比特 故障 影响 下 


3、4 所 示 。 


接 等 于 上 一 轮 左 寄存 器 内 部 状态 。 左 寄 
轮 状态 情况 分 别 如 图 


右 寄存 器 状态 


圈 ”故障 影响 状态 


口 正确 加密 状态 


图 3 左 寄存 器 内 故障 对 下 轮 影 响 情况 


左 寄存 器 状态 p 
ETTrrrrrrrrrrrn 
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口 正确 加 密 状态 园 ”故障 影响 状态 


图 4 右 寄存 器 内 故障 对 下 轮 影响 情况 


观 穴 图 


3、4 可 得 出 , 在 左 寄存 器 注入 故障 时 ， 故 障 能 够 影 


响 下 一 轮 中 间 状 态 更 多 比特 位 , 即 故障 能 够 更 快 扩散 至 下 一 轮 。 


但 同时 ， 


障 等 价 于 加 


通过 对 比 发 现在 加 密 第 + 轮 左 寄存 器 第 i 比特 注入 故 
密 第 r-1 轮 右 寄存 器 第 i 比特 注入 故障 ， 因 此 同等 


条 件 下 右 寄存 器 故障 注入 可 比 左 寄存 器 更 深 一 轮 ， 即 能 够 利用 


更 深 一 轮 的 故障 信息 ， 因 此 本 文选 取 密 码 右 寄存 器 进行 故障 注 


入 
3.2 故障 已 知 模型 

本 文采 用 单 比特 翻转 故障 ， 首 先 设 定 故 障 已 知 模型 ， 即 准 
确 控 制 故障 诱导 比特 位 。 通 过 分 析 SIMECK 密码 使 用 “&”、 
“ 异 或 ”及 循环 移 位 操作 混合 运算 使 得 加 密 扩 散 原 理 ， 推 导 从 


故障 注入 加 密 轮 至 故障 密 文 输出 过 程 中 故障 扩散 路 径 ， 以 向 右 


寄存 器 第 8 


bit 注入 单 比特 故障 为 例 ， 所 注 故障 随 迭 代 加 密 扩 


散 效果 如 图 


5 所 示 。 
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图 5 SIMECK32/64 单 比 特 故 障 扩散 路 径 


观 pe 医 


5 可 得 出 ， 在 密码 右 寄存 器 注入 单 比特 故障 时 ， 经 
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过 7 轮 迄 代 运 算 后 故障 能 够 扩散 至 左 寄存 器 状态 全 部 16 比特 ， 


再 经 过 一 轮 加 密 即 可 扩散 至 全 部 32 比特 密 文 。 因此 , 得 到 正确 


密 文 输出 后 ， 在 同一 明文 和 主 密 钥 条 件 下 重启 加 密 算 法 ， 加 密 


至 第 24 轮 时 向 右 寄存 器 中 间 状 态 注入 单 比 


村 故障 。 


运 


获得 故障 密 文 后 ， 按 照 第 2 节 方法 将 故障 注入 轮 至 故障 密 
文 输出 加 密 过 程 转化 成 等 效 代数 方程 组 。 同 时 分 析 故 障 扩散 过 


程 中 所 使 用 轮 密 钥 与 故障 中 间 状 态 的 相关 性 ， 


创建 图 


5 中 故障 


扩散 过 程 等 效 代数 方程 。 以 第 24 一 25 轮 加 密 为 例 , 可 构建 方程 


如 式 (8) 所 示 。 


xLali] ® xLyli] =0,0 <i<16; 

XR',li] @xR,li] =0,0<i<16,iz8; 

xx [3] ® xL [3] & xD [1316xL [9]@xR [81@sk, [8] =0; 
xD [i]@xLli]=0,0<i<16,iz8; 

xR',s[i] OxRsli]=0 ,0<i<16; 

XL [3@xL [3 xL,,[8] BD xLs [4@xR [IO sk [3] =0; 
XL [7]® xLs [7]& xLsll2] ® xL,s[8]O xRs [7 Oskss [7] =0; 
xLs [8] xL [8] & xLsl13]® xLs[9]O xR’,s[8] © sk [8] =0; 


剩余 轮 故 障 传播 信 


息 方程 构建 原理 


3.3 ”故障 未 知 模型 

在 故障 已 知 模型 有 效 基础 
无 需 精确 控制 故障 具体 发 生 在 
过 建立 如 式 (8) 方 程 利用 故障 信息 。 本 文 提出 | 
模型 下 的 故障 信息 。 


， 本 文 提出 故障 未 知 模型 ， 


丰 上 


种 策略 利用 


3.3.1 创建 故障 注入 差分 方程 


存 器 哪 一 比特 位 ， 因 此 不 能 通 


(8) 


与 上 式 相 似 ， 在 此 不 一 一 资 


差分 故障 攻击 若 将 故障 注入 较 深 轮 时 ， 受 手工 推导 能 力 限 


一 


制 难以 预测 故障 注入 位 
通过 创建 故障 注入 差分 值 代数 方程 表示 所 注 故障 的 方法 。 


选取 加 密 第 24 轮 右 寄存 器 随机 注入 音 
密 时 右 寄存 器 内 部 状态 记 为 xRol xRi| .| xRis， 


EE ， 导致 故障 攻击 失效 。 本 文 给 出 一 种 


比特 故障 , 将 正确 加 
诱导 故障 后 内 部 


状态 记 为 xzR olxR xzR 5。 引入 16 比特 新 变量 Axi(0 入 ;<<160) 


表示 故障 注入 轮 正确 /故障 状态 差分 值 ， 如 式 〈9) 所 示 。 


4 (9) 
如 果 故 障 注入 在 第 i 比特, 则 ax, = XR @xR' _0 .由 于 每 
次 攻击 只 注入 1 比特 故障 ， 所 以 A xo~ Ax1s 山大 日 仅 有 1 个 值 
为 1， 其 余 15 比特 值 均 为 0， 基 于 此 ， 引 入 16 比特 中 间 变 量 
tmp;(0<i<16) , 令 tmp,; =1@ax,。 则 tmpo~tmpis 中 有 且 只 有 
1 比特 值 为 0， 其 余 15 比特 值 均 为 1。 因 此 可 将 故障 注入 信息 
表示 为 关于 变量 tmp 的 方程 ， 如 式 (10) 所 示 。 
tmpo V ID Vv tmpis =1; 
tmp,, Vtmp, =1,0<m<n<16; (10) 


册 
ll 


于 左 寄存 器 内 部 状态 ， 


并 没有 发 生 故 障 ， 因 此 可 创建 方 
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程 如 式 〈11) 所 示 。 


xL, BxL, =0 ,0<i<16 (11) 


因此 ,通过 引入 16 比特 中 间 变 量 tmp， 共 创建 137 个 等 式 
将 故障 注入 差分 表示 成 代数 方程 组 。 


3.3.2 根据 正确 /故障 密 文 差 分 确定 故障 索引 值 

上 节 方 法 中 虽 能 灵活 运用 代数 方程 表示 故障 注入 轮 差分 ， 
但 是 无 法 确定 具体 故障 注入 位 置 ， 就 无 法 利用 故障 扩散 信息 。 
本 文通 过 分 析 故 障 传播 特性 , 提出 一 种 根据 正确 /故障 密 文 差分 
值 确 定 故障 索引 值 的 方法 。 


在 加 密 倒 数 第 6 轮 右 寄 存 器 注入 单 比 特 故 障 ， 当 故障 注入 
比特 位 不 同时 故障 扩散 路 径 不 同 ， 输 出 故障 密 文 与 正确 密 文 差 
分 值 中 0 比特 和 1 比特 的 位 置 均 不 相同 ， 基 于 此 原理 本 文 提 出 
通过 匹配 正确 /故障 密 文 差分 值 确定 故障 索引 值 方法 。 按照 3.2 
节 方 法 ， 依 次 分 析 推 导 故 障 注入 位 置 从 第 0 比特 至 第 15 比特 ， 
计算 正确 /故障 密 文 差分 值 ， 结 果 如 表 2 所 示 。 


表 2 正确 /故障 密 文 差分 对 照 表 


故障 位 置 正确 /故障 密 文 差分 值 
Ro 1,1,0,0,1,1,1,0,1,1,1,1,1,1,1,1,1,1,0,0,0,1,1,0,0,1,1,1,0,1,1,1 
RI 1,1,1,0,0,1,1,1,0,1,1,1,1,1,1,1,1,1,1,0,0,0,1,1,0,0,1,1,1,0,1,1 
R; 1,1,1,1,0,0,1,1,1,0,1,1,1,1,1,1,1,1,1,1,0,0,0,1,1,0,0,1,1,1,0,1 
Rs 1,1,1,1,1,0,0,1,1,1,0,1,1,1,1,1,1,1,1,1,1,0,0,0,1,1,0,0,1,1,1,0 
Ra 1,1,1,1,1,1,0,0,1,1,1,0,1,1,1,1,0,1,1,1,1,1,0,0,0,1,1,0,0,1,1,1 
Rs 1,1,1,1,1,1,1,0,0,1,1,1,0,1,1,1,1,0,1,1,1,1,1,0,0,0,1,1,0,0,1,1 
Re 1,1,1,1,1,1,1,1,0,0,1,1,1,0,1,1,1,1,0,1,1,1,1,1,0,0,0,1,1,0,0, 1 
R7 1,1,1,1,1,1,1,1,1,0,0,1,1,1,0,1,1,1,1,0,1,1,1,1,1,0,0,0,1,1,0,0 
Rs 1,1,1,1,1,1,1,1,1,1,0,0,1,1,1,0,0,1,1,1,0,1,1,1,1,1,0,0,0,1,1,0 
Ro 0,1,1,1,1,1,1,1,1,1,1,0,0,1,1,1,0,0,1,1,1,0,1,1,1,1,1,0,0,0,1,1 
Rio 1,0,1,1,1,1,1,1,1,1,1,1,0,0,1,1,1,0,0,1,1,1,0,1,1,1,1,1,0,0,0, 1 
Ru 1,1,0,1,1,1,1,1,1,1,1,1,1,0,0,1,1,1,0,0,1,1,1,0,1,1,1,1,1,0,0,0 
R12 1,1,1,0,1,1,1,1,1,1,1,1,1,1,0,0,0,1,1,0,0,1,1,1,0,1,1,1,1,1,0,0 
Ry 0,1,1,1,0,1,1,1,1,1,1,1,1,1,1,0,0,0,1,1,0,0,1,1,1,0,1,1,1,1,1,0 
Rua 0,0,1,1,1,0,1,1,1,1,1,1,1,1,1,1,0,0,0,1,1,0,0,1,1,1,0,1,1,1,1,1 


Ris 1,0,0,1,1,1,0,1,1,1,1,1,1,1,1,1,1,0,0,0,1,1,0,0,1,1,1,0,1,1,1,1 

表 2 可 得 出 ， 当 故障 注入 在 Ro 一 Ri 不 同位 置 时 ， 正 确 / 
故障 密 文 差 分 值 均 不 同 。 因 此 获取 故障 密 文 后 ， 将 密 文 差 分 值 
与 表 2 内 容 逐 一 比较 ， 若 与 第 i 行 差分 值 匹配 相同 ， 则 可 推断 
出 故障 注入 在 Ri 比特 进而 利用 故障 扩散 信息 。 


但 实验 过 程 中 注入 故障 后 所 输出 密 文 与 正确 密 文 差分 值 与 
理论 推导 值 并 不 完全 相同 : 以 明文 =0xf029 0216， 主 密 钥 
0x1918 1110 0908 0100 进行 加 密 ， 正 确 密 文 为 0xa4b1 bab9; 
在 第 RO 注入 单 比 特 故 障 后 输出 故障 密 文 =0x2eef 6acd， 密 文 差 
分 值 =0x8a5e 0074， 转 换 成 二 进 制 为 1000 1010 0101 1110 0000 
0000 0111 0100， 与 表 2 中 第 郧 行 差分 值 并 不 完全 相同 。 分 析 


中 
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原因 ， 是 由 于 SIMECK 轮 函 数 内 “人 及” 运算 的 数学 特性 会 导致 某 
些 情况 下 故障 传播 失效 ， 有 具体 可 分 为 以 下 三 种 情况 ; 


假设 “&&” 加 密 运 算 双 方 为 如 和 有， 诱导 故障 后 状态 记 为 
和 1 和 了 2: 


a) 六 =1， 入 =1， 正 确 加 密 结果 和 羽 & PRP=1。 无 论 故 障 注 入 是 
在 还 是 钱 ， 原 状态 由 1 跳 变 为 0， 故 障 加 密 结果 五 &E=0， 状 态 
翻转 ， 故 障 成 功 扩散 至 下 一 比特 ， 如 图 6 所 示 。 


诱导 故障 诱导 故障 
pr SS 


成 功 成 功 


图 6 “&” 运 算 故障 扩散 成 功 情况 


b) 和 =1， 成 =0， 正 确 加 密 结果 针 & 和 =0。 当 故障 注入 在 名 
时 ， 故 障 加 密 结果 郊 & 咏 =1， 状 态 翻转 ， 故 障 传播 成 功 ; 但 是 
当 故 障 注入 在 姑 时 ， 故 障 加 密 结果 已"& ER=0， 与 正确 加 密 相 
同 ， 故 障 传播 失效 ， 如 图 7 所 示 。 


本 
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最 


失效 i 成 功 


图 7 “&” 运 算 故 障 失效 情况 1 


c) =0， 有 =0， 正 确 加 密 结果 有 & 训 =0。 此 时 ， 不 管 故 
障 注入 在 总 还 是 亚 ,， 加密 结果 卫 *@& 训 = 宣 有 &X2*=0，, 均 与 正确 
加 密 结 果 相同 ， 故 障 传播 失效 ， 如 图 8 所 示 。 


失效 正确 失效 


加 密 


四 8 “&” 运 算 故 障 失效 情况 2 


鉴于 上 述 情况 ， 本 文 提出 以 下 策略 确定 故障 案 引 ; 


a) 设 置 16 个 计数 器 ， 记 为 Counter[0] ~~Counter[15]， 分 
别 对 应 表 2 中 第 咏 一 后 行 ， 并 将 计数 器 初始 值 置 零 ; 
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b) 获得 正确 密 文 和 故障 密 文 输出 后 ， 计 算 密 文 差分 值 。 将 


加 1， 最 终 得 到 16 个 Counter[ 疏 的 值 ; 


c) 比较 Counter[i] (0 三 i 二 16) 值 大 小 ， 


正确 /故障 密 文 差分 依次 与 表 2 第 Ro~Ris 行 内 容 逐 比特 进行 比 
较 ， 当 第 Ri 行 每 匹配 成 功 1 比特 则 所 对 应 计数 器 Corwzter[ 门 值 


选取 其 中 最 大 值 


Counter_max[ 订 所 对 应 表 2 第 Ri 行为 最 终 成 功 匹 配 成 功 行 ， 即 
确定 故障 注入 位 置 在 第 Ri 比特 。 算 法 如 表 3 所 示 。 


表 3 


基于 密 文 差分 确定 故障 索引 值 算法 


输入 : 正确 密 文 C 和 故障 密 文 C* 


输出 : 故障 诱导 位 置 location 


Counter[li] —0, 0<i<=16; 


1. 随机 生成 明文 P 和 主 密 钥 MK， 正 确 加 密 关 


F 输 出 密 文 C; 


tm 


2. 在 同一 已 与 MK 条件 下 ， 习 


寄 


启 加 密 算法 ， 


向 第 27 轮 右 


存 器 注入 单 比 特 故 障 ， 加 密 至 故障 密 文 C*; 


for i=0 to i=2n do 


A XIi]=C[i] @ C*[]; 


for r=0 to r=n do 


for i=0 to i=2n do 


if AXTi=R] 


then Counter[r]++; 


end for 


end for 


Counter_max[r] = max(Counter[0]~ Counter[15)); 


loationc =r; 


return location 


为 验证 上 述 所 提 策 略 有 效 性 , 进行 1000 次 攻击 实验 , 每 次 
实验 分 别 依次 对 第 Ro~Ris 比特 诱导 故障 ， 按 照 表 3 算法 确定 
故障 注入 位 置 ， 其 中 能 够 正确 推导 故障 注入 位 置 共 13259 次 ， 


成 功率 p=13259/(6x1000) = 82.9% 。 
即 能 够 利用 式 “7) 创建 故障 扩散 方程 。 


4 ”攻击 实验 


在 普通 PC 机 (CPU: Intel® CoreIM i5-4 


当 故 障 索 引 值 确 定 后 ， 


710 @3.20 GHz， 


内 存 4 GB，64 位 Windows 7 系统 ) 上 ， 使 用 


真 故障 注入 过 程 ， 使 用 


CryptoMinisat 解析 器 


C++ 语言 编程 仿 
(4.4 版 本 ) 求解 


ChinaXiv 合 
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密 角 方程。 攻击 实验 流程 如 图 


9 所 示 。 


生成 随机 明文 和 主 密 钥 


! 


正确 运行 密码 算法 
得 到 正确 密 文 


构建 密码 正 


密 的 方程 


确 加 


创建 故障 信息 利 
用 方程 ， 并 与 正 
确 加 密 方 程 联 立 


重启 加 密 算法 ， 在 密码 右 寄存 
器 注入 单 比特 故障 ， 加 密 得 到 


一 个 故障 密 文 


故障 样本 量 ES 
,| 


将 代数 方程 组 转换 成 
CNF 格 式 ， 使 用 
CryptoMinisat-4.4 求 解 


上 一 


获得 全 部 密 钥 信息 


图 9 ”SIMECK 密码 攻击 实验 过 程 


4.1 SIMECK32/64 攻击 实例 


a) 开始 生成 32bit 明文 mP=0x eb63 8896， 随 机 64bit 主 密 
钥 mk=0x ee8b 0598 6b06 6cc3， 正 常 启动 加 密 算法 ， 得 到 正确 


密 文 C=0xea6f 0387, 使 / 
程 组 ; 


b) 同一 明文 和 密 钥 条 


第 2 节 方 法 创建 正确 加 密 


等 效 代 数 方 


牛 下 重启 加 密 算法 ， 故 障 已 知 模型 设 


定 


下 , 加 密 至 第 24 轮 时 向 右 寄存 器 注入 单 比特 故障 , 加 密 至 故 


障 密 文 输出 ， 重 复 该 步 又 直至 获得 最 后 样本 量 。 两 种 故障 未 知 


模型 设 定 下 ， 分 别 在 加 密 第 24 轮 和 第 27 轮 右 寄存 器 注入 单 比 
特 故障 。 按 照 第 3 节 方 法 建立 故障 信息 方程 。 


c) 使 
64 bit 主 密 钥 编号 为 46 一 109， 


] CryptoMinisat 解析 器 求解 方程 ,结果 如 图 10 所 示 。 
其 中 正 数 表示 该 编号 所 代表 变 


出 的 密 钥 信 
1011 0000 01100110 1100 1100 0011， 转 换 为 十 六 进 
0598 6b06 6cc3 ， 与 正确 密 钥 信 息 一 致 ， 攻 击 成 功 。 


rt 


量 值 为 1, 负数 表示 该 编号 变量 所 代表 的 变量 值 为 0。 因此 求解 
息 为 : 1110 1110 1000 1011 0000 0101 1001 1000 0110 


制 为 0xee8b 


图 10 CryptoMinisat 求解 结 


4.2 实验 结果 分 析 

为 充分 验证 所 提 方 法 
故障 注入 数量 ， 
11 所 示 。 


LA 


了 效 性 ， 故 障 已 知 模型 设 定 下 ， 增 加 
分 别 进行 100 次 攻击 实验 ， 平 均 求 解 时 间 如 图 
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图 11 


己 知 模型 设 定 下 平均 求解 时 间 


a) 由 图 11 可 知 ，2 次 故障 注入 即 可 恢复 完整 64 bit 主 密 
钥 ， 平 均 需 431 s，3 次 故障 注入 可 将 求解 时 间 下 降 至 14 s; 


b) 前 期 ， 随 着 故障 注入 数量 的 增加 ,平均 求解 时 间 逐 渐 减 
小 ， 且 故障 样本 量 越 少时 间 减 小 趋势 越 明显 ， 这 是 由 于 注入 故 


一: 
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求 艇 时 间 区 间 “X 102s 


T T T T 
1 14 18 ~ 18 
出 现 次 数 占 总 时 百 分 比 此 


加 13 。 基于 故障 注入 差分 的 未 知 模型 求解 时 间 分 布 (n=2) 


由 图 13 可 得 ，79% 的 实验 能 够 在 1000s 内 完成 求解 ， 总 平 
均 求解 时 间 为 681s， 大 于 已 知 模型 平均 求解 时 间 。 虽 然 两 种 故 
障 模型 设 定 故障 深度 相同 ， 所 能 够 利用 故障 加 密 过 程 等 效 方程 
相同 ， 但 是 该 未 知 模型 仅 利 用 故障 注入 差分 信息 ， 相 比 已 知 模 
型 能 够 利用 故障 传播 信息 所 能 利用 故障 信息 较 少 ， 使 得 方程 求 


障 数量 增加 使 得 可 创建 故障 信息 方程 增加 ， 从 而 充分 降低 方程 
求解 复杂 度 ; 当 故 障 数量 n=9 时 求解 时 间 将 至 最 少 , 仅 为 0.28s， 
当 n29 时 ， 故 障 数量 增加 时 ， 求 解 时 间 反而 略 有 增长 ， 这 是 因 
为 故障 样本 量 过 多 时 ， 导 致 产生 的 故障 信息 方程 见 余 ， 使 得 求 
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图 12 ”基于 密 文 差分 的 未 知 模型 平均 求解 时 间 


基于 正确 /故障 密 文 差分 的 未 知 模型 下 ,最 少 需 9 次 注入 可 
恢复 全 部 64 bit 主 密 钥 ， 平 均 需 637 s。 不 同 故障 样本 量 下 平 
均 求 解 时 间 如 图 12 所 示 。 


对 比 图 11 和 12 的 曲线 ， 发 现 两 种 模型 下 求解 时 间 随 故障 
样本 量变 化 趋势 大 致 相同 ， 这 是 因为 两 种 模型 利用 故障 信息 原 
里 相似 , 均 能 够 创建 故障 传播 信息 方程 ;但 相同 故障 样本 量 下 ， 
未 知 模型 平均 求解 时 间 均 大 于 已 知 模型 ， 因 为 为 了 能 够 确定 故 
障 索 引 值 ， 未 知 模型 故障 注入 深度 为 6， 小 于 已 知 模型 深度 9， 
因此 每 次 故障 注入 后 未 知 模型 可 利用 的 故障 加 密 方程 和 故障 传 
播 方程 均 小 于 已 知 模型 ， 致 使 求解 复杂 度 较 高 。 


解 复杂 度 略 高 。 
4.3 与 已 有 研究 比较 


本 文 攻击 成 果 与 已 有 故障 攻击 研究 比较 如 表 4 所 示 。 
表 4 ”SIMNECK32/64 故障 攻击 结果 比较 
研究 故障 恢复 密 
攻击 方法 侈 复 密 钼 属 
来 源 数量 
文献 单 比特 随机 故障 , 深度 f=2, 根据 故障 密 文 推导 16 比特 末 轮 
28.32 
[12] 末 轮 轮 密 钥 轮 密 负 
单 比特 故障 已 知 , 深度 .f=9, 创建 故障 加 密 及 故 完整 64 比特 
本 文 六 
障 传播 方程 主 密 钥 
单 比特 随机 故障 , 深度 f=9， 基 于 故障 注入 差分 完整 64 比特 
本 文 2 
创建 故障 信息 方程 主 密 钥 
单 比 特 随 机 故障 , 深度 f=6， 基于 密 文 差分 确定 完整 64 比特 
本 文 9 
故障 索引 值 主 密 钥 
对 比 文献 [12] ， 本 文 代 数 故 障 攻击 结果 优点 如 下 : 


a) 已 知 模型 和 两 种 未 知 模型 设 定 下 , 均 能 恢复 完整 64 比特 
主 密 钥 信 息 ; 文献 [12] 中 利用 差分 故障 攻击 ， 成 功 恢复 最 后 一 
轮 16 比特 轮 密 钥 。 但 根据 SIMECK 密 钥 生成 策略 ， 需 要 获得 
连续 4 轮 轮 密 钥 才 可 能 恢复 全 部 主 密 钥 。 本 文通 过 创建 密 钥 扩 
展 算法 等 效 方程 ， 三 种 故障 模型 下 均 能 成 功 恢复 完整 主 密 钥 信 
息 ， 密 钥 搜 索 复杂 度 更 低 ， 对 密码 安全 性 威胁 更 大 ; 


3 


b) 故障 注入 轮 更 深 ， 故 障 信息 利用 率 更 高 ， 所 需 故 障 注 入 
数量 更 少 ， 文献 [12] 差 分 故障 攻击 中 ， 在 倒数 第 2 轮 注 故 障 ， 


基于 故障 注入 差分 的 未 知 模型 下 ， 仅 需 2 次 故障 注入 即 可 
恢复 完整 主 密 钥 ，100 次 攻击 实验 求解 时 间 分 布 如 图 13 所 示 。 


每 次 故障 注入 可 恢复 末 轮 密 钥 的 2 比特 ， 平 均 需要 28.32 个 故 
障 能 够 恢 末 轮 16 比特 密 钥 。 由 于 SIMECK 密码 轮 函 数 中 按 位 
“与 ”“ 异 或 ”和 循环 移 位 操作 的 混合 运算 使 得 故障 传播 特征 
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较为 复杂 ， 当 故障 注入 过 深 轮 时 ， 差 分 故障 攻击 利用 繁琐 手工 
推导 难以 确定 故障 位 置 ， 使 得 故障 攻击 失效 。 而 本 文 能 够 灵活 
的 将 故障 信息 表示 成 代数 方程 组 形式 ， 两 种 策略 下 的 故障 未 知 
模型 分 别 通过 创建 故障 注入 差分 方程 表示 故障 注入 信息 和 通过 
匹配 正确 /故障 密 文 差分 确定 故障 索引 值 , 充 分 利用 可 计算 资源 
将 故障 注入 更 深 轮 ， 三 种 模型 下 分 别 将 故障 深度 有 加 深 至 9,9 
和 6, 使 得 可 利用 故障 信息 增多 , 分 别 仅 需 2 次 、2 次 和 9 次 由 
障 即 可 恢复 完整 64 比特 主 密 钥 ， 攻 击 复杂 度 更 低 。 


5 ”结束 语 


本 文 针对 SIMECK32/64 密码 进行 代数 故障 攻击 ， 设 定 三 种 
故障 模型 ， 分 别 需要 2 次 、2 次 和 9 次 故障 注入 即 能 恢复 完整 
64 bit 主 密 钥 信息 ， 最 佳 求 解 时 间 仅 为 0.32 s。 这 表明 在 数学 
上 设计 安全 的 SIMECK 密码 并 不 能 有 效 抵御 故障 攻击 的 威胁 ， 
司 时 为 后 续 完 善 密码 安全 性 设计 提供 有 益 参 考 价值 和 借鉴 意义 
于 SIMECK 算法 加 密 轮 函数 中 “&” 运 算 的 数学 特性 可 能 会 使 
得 故障 扩散 过 程 中 出 现 失 效 ， 因 此 今后 将 深入 分 析 故 障 失效 情 
况 以 进一步 提高 故障 信息 利用 率 。 
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